E安全3月1日訊 一家互聯網接入型智能動物玩具廠商遭遇數據泄露,敏感客戶數據庫受到惡意入侵。此次事故外泄的內容包括超過200萬父母與兒童的語音消息,外加超過80萬個帳戶的電子郵箱地址與密碼數據。
根據本周一由Troy Hunt發表的博客文章介紹,這些數據被保存在一套未經密碼保護的公開數據庫當中。他表示曾于去年12月25日到今年1月8日期間利用Shodan計算機搜索引擎及其它證據進行調查分析,最終確定該客戶數據已經由多方多次進行訪問,其中包括最終掌握該數據并實施勒索的惡意人士。
此次泄露的數據來自Spiral Toys公司,即CloudPets系列動物填充玩具的制造商。這些智能玩具能夠記錄并播放由父母與兒童通過互聯網發出的語音消息。用于容納這些數據的MongoDB數據庫中保存有近220萬條語音記錄,由一家名為mReady的羅馬尼亞企業負責管理——其與Spiral Toys之間似乎保持著合作協議。Hunt指出,人們至少向該玩具制造商發出了四次數據泄露提醒。無論如何,最終勒索方留下的證據表明該制造商的管理層幾乎一定已經了解到此番入侵事件。
這套數據庫目前已可直接訪問,且未經任何密碼保護
Hunt在報告中寫道:
我們很難相信CloudPets(或者mReady)方面此前并未第一時間了解到情況,但相關數據庫仍持續處于開放狀態并隨后遭到惡意方的訪問。很明顯,惡意人士變更了該系統的安全配置,而廠商則無法忽視對方留下的勒索要求。因此數據庫暴露與勒索行為必然已經被廠商所發現,但其卻從未對此事進行通報。
家長請務必慎重購買使用智能玩具此次數據泄露進一步引發了人們對于互聯網接入型智能玩具在隱私及安全性方面薄弱表現的擔憂。2015年11月,技術新聞網站Motherboard就曾經披露玩具制造商VTech遭遇入侵,近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。就在一個月后,一位研究人員又發現美泰公司生產的互聯網接入型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實時對話。
除了將客戶數據庫保存在可公開訪問的位置之外,Spiral Toys公司還利用一款未經任何驗證機制保護的Amazon托管服務存儲客戶的個人資料、兒童姓名及其與父母、親屬及朋友間的關系信息。只需要了解文件的所處位置,任何人都能夠輕松獲取到該數據——Hunt表示,文件位置信息亦不難找到。
更奇怪的是,對于安全管理如此寬松的產品,該服務本采用了極為嚴密的bcrypt散列函數進行密碼保護。然而遺憾的是,CloudPets使用了有史以來最為寬松的一項密碼策略。其允許使用任何密碼內容——例如單個字符“a”或者短鍵盤序列“qwe”這樣的密碼設置。
Hunt寫道,“這意味著當我在將bcrypt哈希輸入密碼破解應用hashcat并參照全球使用頻率最高的密碼詞匯表時(包括‘qwerty’、‘password’以及‘123456’等),我能夠在很短的時間內破解大量密碼。”
近年來,無數事例給我們帶來的教訓在于,所謂物聯網產品的安全性非常糟糕,以至于將其接入互聯網不會帶來任何好處。隨著此次CloudPets的淪陷,互聯網接入型玩具在成為重大安全隱患的道路上又邁出了致命的一步。
京公網安備 11010502049343號